现代内部审计功能拓展与内部控制评价

-现代内部审计功能拓展与内部控制评价 【摘要】 内部审计与内部控制评价作为公司内部控制系统监督要素发挥作用的两种实施方式，是推动公司内部控制体系建设与完善、提升公司治理水平的重要机制。现代内部审计的再确认与咨询功能奠定了内部审计主导与执行内部控制评价的客观基础。内部审计通过驱动管理人员与员工开展公司内部控制评价与自我评价，进而实现推进公司内控建设的管理目标。内部审计主导内部控制评价地位的确立赋予其定期提出内部控制评价报告、接受注册会计师审计的具体职责。 【关键词】 内部控制评价； 内部审计； 内部控制体系 一、引言 公司内部控制体系是确定所有权与经营权之间受托经济责任履行情况的重要载体。现代经营环境中，任何公司不论其具体经营业务是什么，构建完善的内部控制系统都是衡量经营者受托责任履行情况的重要方面。内部控制系统是连接公司治理层、管理层与运营层的重要通道，如图1。公司治理层、管理层与运营层在内部控制系统中分别具有监督、建立与完善、运行内部控制系统的职责。 由于内部控制系统对保护所有权（投资者）投资积极性乃至资本市场运行的重要意义，上证所和深交所分别于2006年6月及9月公布了上市公司内部控制指引，明确了公司内部控制在公司治理中的地位，同时提出有条件的上市公司披露内部控制自我评价报告的要求。2008年12月财政部、审计署、证监会等五部委又联合发布企业内部控制基本规范，要求从2009年7月1日起，所有上市公司披露年报的同时要披露公司内部控制自我评价报告，该报告与年报一样需经事务所审计。虽然由于企业的实际状况，证监会将上市公司披露该报告的时间推迟，但五部委的这一规范，普遍被认为是中国版的萨班斯奥克斯利法案。2010年4月财政部等五部委陆续颁发了实施内部控制的3个配套指引，旨在明确指导我国内部控制具体建设。指引的推出与2008年企业内部控制基本规范的发布，标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。这是我国首次以部门规章形式规范了上市公司的内部控制体系及其建设，它们既是企业建设内部控制的行为依据，又为企业提供了技术指引，作为行政规范与COSO报告的集成，必将深刻影响到中国内部审计的未来发展。 内部控制评价作为内部控制体系建设的重要环节，其有效开展将会大力推动上市公司内部控制体系建设。根据2009年内部审计热点问题调查报告，84%的受访者认为金融危机使得企业领导提高了对风险管理与内部控制的重视程度；60%的受访者认为内部审计是公司风险管理与内部控制的重要环节。不仅如此，我们认为拓展内部审计功能基础上，由内部审计引导（驱动）下的内部控制评价将成为提升公司传统内部控制自我评价促动企业内部控制建设的一种管理发展模式。 二、内部控制评价的历史演变 内部控制评价的发展与审计模式的变迁密切相关。审计模式经历了从账项基础审计到制度导向审计及至风险导向审计模式的发展阶段。从账项审计后期，审计人员就开始注意到内部控制对信息质量的影响。 （一）内部控制评价的初级发展阶段：基于注册会计师视角 进入审计模式发展的第二阶段制度导向审计模式阶段，内部控制的测评已经提升为审计业务活动非常重要的环节之一。在财务报表审计中，以下两种情况强制要求对内部控制进行测试：在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，注册会计师拟信赖控制运行的有效性）；或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。可见，注册会计师对内部控制的了解和测试不足以对内部控制发表意见，难以满足信息使用者的需求。囿于社会发展进程的阶段性特征，不同历史阶段形成了对内部控制的不同认识，无论测评内容如何变化，内部控制评审作为确定实质性程序中审计范围与重点、评估业务风险、提高审计效率的重要作用已得到普遍认可。 2002年为了规范注册会计师执行内部控制审核业务，保证执业质量，中注协颁发了内部控制审核指导意见；2006年中国注册会计师其他鉴证业务准则第3101号历史财务信息审计或审阅以外的鉴证业务等规范进一步将对内部控制的审核从审计业务中独立出来，规定公司应当单独对内部控制进行单独鉴证。 从注册会计师角度看，审计执业活动中对被审计单位内部控制的关注度在不断加深。内部控制从审计的有机组成部分到单独接受审核以至发布独立的内部控制鉴证报告，实质上是一个不断接受外部全面与深度评价的发展过程。 （二）内部控制评价的初级发展阶段：基于公司内部的自我评价 从公司内部看，对内部控制的自我评价于1987年由加拿大海湾公司首次提出。当时主要用于解决资源计量问题和评价公司软环境。20世纪90年代在早期倡导者的提议下，主要进行谈判和协议方面的控制。1995年之后得到更多公司的接受，公司普遍将控制自我评估（CSA）视为价值增值工具。2000年CSA被创造性地应用于审计业务进行审计再造，由此推动内部审计职能重点转向评价咨询（杨淑娥，2006）。 内部控制自我评价是一种在西方发达国家广泛使用的内部审计技术和工具（陈峰青，2006），它是由管理层或业务人员直接参与的考察和评价内部控制效果的过程（孙蔓莉，2007；陈峰青，2006）。也有学者认为内部控制自我评价是对传统的内部审计形式的一种补充和发展，是广义的内部审计理论中的一种技术方法（韩晓梅，2008）。我国内部审计具体准则第21号内部审计的控制自我评估法（2006）中也将内部控制自我评价界定为内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法。 由此可见，20世纪90年代以来公司内部控制自我评价作为内部审计的一项技术手段或工作方法一直运用至今。只是2010年内部控制配套指引第一次明确提出被审计单位要单独披露内部控制评价报告，并接受事务所审计。并将公司内部控制评价活动规范化、透明化。 所以，从发展的角度看，公司内外部力量通过不同的评价形式都对其内部控制的建设起到了推动作用，奠定了公司内部控制评价活动充分披露并能接受审计的基础。 三、内部控制评价主体分析 根据配套指引的规定，内部控制评价的对象是确定的，即公司内部控制系统设计与运行的有效性。具体内容涵盖内部控制系统五要素。内部控制评价的主体规定为公司董事会或类似权力机构，但目前已有研究观点各异有的是管理层或业务人员主导评价，也有的是内部审计人员主导评价，还可能是双主体或多主体共同主导评价。这些研究结论与指引的规定明显不一，如何合理地界定评价主体将在很大程度上影响评价活动实效，因此需要从理论上分析确定内部控制评价的实施主体。 安达信公司研究人员发布的研究报告曾指出CSA执行中存在五大缺陷，其中引导人员失当、缺乏管理人员支持、限定其实施范围等是自我评价失控的主要影响因素。所以选择合适的引导人员成为实施CSA成功的关键因素。 （一）内部控制评价执行主体的不同观点 对于谁来引导内部控制自我评价，目前有三种不同看法，有些参与者认为CSA只能由经营管理当局或其领导的工作小组来有效执行（林朝华、唐予华，2003）。还有一些参与者认为，CSA应该包含内部审计，视内部审计为CSA的恰当驱动者（林朝华、唐予华，2003）；第三种观点认为，内部审计应当持续监控并参与CSA，使内外部审计和CSA在内控评价方面形成合力（刘素珍，2008；陈吉东，2007）；或使企业员工、内部审计人员和管理人员共同承担对内部控制评价的责任（陈新宁，2008）。还有将内部控制评价主体系统化，提出应由公司内部审计、管理者与员工、公司内部监事会、审计委员会、社会中介组织与政府监管部门共同完成CSA（陈力生，2008）。 笔者认为界定合理的执行主体首先应该考虑主体的功能定位，即执行主体本身能做什么、不能做什么，符合其内在规律的业务设定将促进执行业务的有效开展，否则只能适得其反。通过对上述观点的单一主体、双主体或多主体的讨论发现： 1.CSA只能由经营管理当局或其领导的工作小组来有效执行的观点，违背了管理监控原则中强调的外部监督有效性原则。赋予管理者与员工业务操作职权的同时，暗含着要求其进行自我监督履行职责，但效果如何，显然需要另外主体确认。 2.内部审计应当持续监控并参与CSA，意味着内部审计在控制自我评价中充当局外人角色，完全履行再确认监督职责。这样的定位：第一，易于把内部审计与自我评价部门人员对立起来，产生抵触情趣，收不到推进完善内部控制的设定作用；第二，内部审计是否有能力与精力、是否考虑审计成本问题？ 3.另外有人提出CSA不应该排除内部审计，而应当将内部审计视为CSA的恰当驱动者的观点是否合理呢？根据评价指引的规定，内部控制评价是由董事会或类似权力机构执行笔者的分析是董事会作为公司的治理决策机构，公司法规定其职权包括：如履行评价职能，只能附其责于审计委员会，由审计委员会组建内部控制评价工作组或直接授权于内部审计部门执行内部控制评价。从实施主体角度分析，笔者认为内部控制评价大体分为三个层次：第一层次由内部审计部门与人员引导（驱动）、不同部门管理人员与员工参与对本部门的控制要素进行全方位评价基础上，内部审计进行再确认与咨询，提交内部控制自我评价报告；第二层次由公司监事会或审计委员会对公司内部控制自我评价进行定期或不定期的监督；第三层次由会计师事务所及注册会计师鉴证或审计内部审计部门出具的公司内部控制评价报告，向社会公众披露评价报告意见。 四、现代内部审计功能拓展分析 前文已经指出内部控制自我评价是企业内部控制体系建设的重要环节，而由内部审计人员引导（驱动）的内部控制自我评价既是现代内部审计功能发挥作用的内在体现，又满足了公司提供内部控制自我评价报告的制度要求，可以看出现代内部审计已经实现了与内部控制自我评价的机制性耦合。 （一）现代内部审计功能拓展：再确认与咨询 内部审计功能是指内部审计在特定条件下功用、效能和作用的总称。内部审计发展初期，其职能主要是经济监督。随着审计范围的扩展，内部审计开始关注企业的整体业务活动，经济评价职能逐渐成为其主要职能。现代管理科学的发展、内部控制理论的发展、特别是21世纪风险管理理论的发展与成熟，促使内部审计关注的层面提高到企业整体的角度，检验和审查企业的各项治理、管理活动是否有效，防范企业风险，提高企业效益，增加企业价值成为新世纪内部审计发展方向。这时的内部审计能为治理层、高层经营管理者、甚至具体业务的执行者提供其内部控制与经营风险控制的再确认信息及建议，现代内部审计功能拓展，体现出一种内向增值型的服务意识。 1999年6月国际内部审计师协会理事会通过了内部审计新定义，指出内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标。中国内部审计20062010年工作规划也指出“推进内部审计工作的全面转型与发展，内部审计要转向以内部控制和风险评估为导向”。经过调研与分析，笔者认为现代内部审计的服务职能主要是再确认与咨询。 1.现代内部审计的再确认职能 现代内部审计的再确认职能是由传统的评价职能发展而来的，它关注的是对企业的风险管理、内部控制及公司治理有效性等方面的再确认。对企业的风险管理、内部控制及公司治理有效性等方面的确认是各项治理、管理职能发挥作用的内在步骤，蕴含在治理与管理运行实践活动中，是治理与管理主体的业务职责。内部审计作为一种监督控制工具，其职能是引导管理控制与实施主体对其内部控制及蕴含风险的再确认。 内部审计首先再确认企业整体目标或某个项目所要达到的目标是否合适，然后具体分析在目标实现过程中产生影响的风险因素，并再确认防范和化解风险的控制措施，最后来测试这些控制措施是否有效，对高风险领域给予特别关注，并将再确认信息提供给治理层和管理者，以便他们进行必要的战略调整，从而帮助企业提高经营效率和实现目标。而风险再确认过程就是对风险所在领域内部控制有效性的再确认。国际内部审计师协会（IIA）在其发布的内部审计实务框架标准“工作标准2130治理”中论述了内部审计在治理方面的工作性质，指出内部审计活动应该确认组织的治理效果，为组织的治理作出贡献。 现代内部审计再确认职能的界定，为内部审计引导控制自我评价奠定了基础。 2.现代内部审计的咨询服务职能 现代内部审计的另一个突出特征就是服务内向性，这种服务内向性是与其咨询职能密切相关的。内部审计提供的咨询服务是由再确认职能拓展而来。内部审计人员在再确认工作过程中能获取许多有价值的资料和信息，经过加工提炼和综合分析，便可以向审计对象或信息需求者提供咨询服务，增加现代内部审计的现实价值。在引导内部控制自我评估活动中，内部审计应当对内部控制体系和过程进行全面的再确认和咨询，借助对内部控制进行有效测试、遵循性确认、协助管理层完善内控体系设计、推动组织开展控制自我评价（魏欣，2008），为组织增加较大价值。 （二）现代内部审计的拓展职能与内部控制评价关系 内部审计从其评价职能的确立拓展到再确认与咨询职能，一直与内部控制建设紧密相关。内部控制评价作为控制系统建设的重要环节，在推动公司内部控制建立、运行及控制风险发挥效能方面作用巨大。内部审计作为内部控制要素之一，本身就是内部控制系统的重要环节。而其发挥监督职能时借助控制评价这种工作方法，实现了与控制自我评估的完全融合。所以内部审计开展内部控制评价具有客观合理性。 现代内部审计具有再确认与咨询职能。再确认意味着内部审计通过对内部控制各环节的检查评价再确认不同控制环节的有效性。针对控制再确认的薄弱环节，提出完善建议。内部控制评价是员工与管理者对自身业务环节的内部控制进行检查，确认控制环节的有效性。根据有效监督管理理论，内在自身监督至少需要与外部监督协同运作才可能发挥积极有效的监督作用。由于内部审计相对于业务运行环节的独立性，其引导控制评价比员工自我评价更加恰当与有效。 内部控制评价在我国一些大型企业已经得到广泛实施。其中宝钢国际、伊利、台湾等公司的运用实践说明了内部审计主导内部控制评价具有现实意义。宝钢国际在实施CSA之后提出“内部控制评估在国内大型企业，特别是跨行业的集团公司有着广阔的发展空间。内部控制自我评估作为一种管理工具，在内部审计人员的引导下，在公司有关管理人员的参与下，能有效地对公司的内部控制进行整改和完善，促进公司管理水平质的飞跃。”（张谏忠、吴轶伦，2005）从我国企业实践来看，有的公司内部审计参与控制评价，有的公司内部审计引导控制自我评价，但不论哪种方式，内部审计都已经与内部控制评价有机结合在一起，共同发挥着加强公司内部控制建设的积极作用。 五、结论与建议 内部控制评价是公司内部控制系统建设的重要保证环节。它的有效开展将促进上市公司内部控制体系的建设与完善，从而对公司治理带来积极影响。同时内部审计在IIA的质量保证检查手册中被定位为一种公司治理的内部保证程序，“通过它，组织可获得关于动态变化环境中的风险暴露已得到恰当管理的再确认的过程”。这意味着，内部审计不是仅仅通过再确认提供保证；不能提供保证的地方，内审人员致力于咨询改进（韩晓梅，2004）。当内部审计作为执行者实施内部控制评价时，内部审计人员对公司内部控制系统的再确认与咨询功能就得到最佳发展。因此内部审计就是通过执行内部控制评价，再确认公司内部控制机制（包括风险管理机制）的恰当性并提出咨询建议的那部分公司治理程序。由于现代内部审计的重要作用，笔者提出：（一）修订内部审计准则，完善内部控制建设规范体系 我国内部审计具体准则第21号内部审计的控制自我评估法（2006）中将内部控制自我评价界定为“内部审计人员为了提高审计效率、促进内部控制审计目的的实现而协助公司内部控制审查和评价的一种工作方法”。这样的概念界定显然与内部审计驱动内部控制自我评价模式不适应。笔者主张在建立与完善内部控制体系过程中，修订内部审计准则，将内部审计协助公司内部控制审查与评价修改为“由内部审计引导内部控制自我评价“，明确控制自我评价的实施主体是内部审计部门，排除实施过程中盲目确定主体引发的控制自我评价风险。 同时对内部审计开展内部控制自我评价中的功能定位、协作形式与工作方法作出准则性规范，指导公司这项法定业务的规范开展。最终形成由内部控制基本规范、内部控制应用指引、内部控制评价指引、内部控制审计指引、内部审计准则以及公司内部控制评价办法等规章制度组成的内部控制建设标准体系，推动公司内部控制法规体系与实施体系的建设。 （二）拓展内部审计职能，合理定位内部审计 根据国际内部审计师协会理事会通过的“内部审计是一种独立、客观的确认和咨询活动，旨在为增加价值和改善组织的运营。它通过应用系统的、规范的方法，评价并改进风险管理、控制和治理过程的效果，帮助组织实现其目标”，定义揭示了现代内部审计具有再确认与咨询职能，这两项职能的清晰界定将直接引发内部审计在公司组织机构中的地位变化。 内部审计履行对公司治理、管理活动中内部控制与风险管理的再确认与咨询职能，意味着它已经超越管理层的局限，部门设置上至少要在董事会或监事会领导下开展内部审计业务。在此基础上，根据管理监控原则，引导或驱动不同部门管理人员与员工进行内部控制评价，推动内部控制评价取得实效，促进财政部企业内部控制基本规范中提交内部控制自我评价报告条款及其他相关法规的有效执行。 【参考文献】 1 王桂莲.基于现代系统思考的企业内部控制创新研究J.会计之友，2009（3）. 2 张龙平，李璐.探析内部控制审计的执行主体资格和范围J.中